openVPN routing. 10 компов через один тоннель. без NAT

0

0

Конфигурация следующаяч:
Сетка(10компов)<->eth0(router)eth1<->[INTERNET]<->eth0(VPN server)eth1<->сетка2

1.В «Сетка(10компов)» все компы должны конфигурироваться по DHCP
2.router пробрасывает через инет routed туннель на VPN сервер.

Условия задачи:
1. router должен раздавать адреса по DHCP
2. router не должен делать NAT(т.е. просто заруливает пакеты в туннель)
3. таким образом VPN server будет знать каждую машину из «сетка(10компов)» в лицо. Это необходимое условие.

Вопросы:
1. Очевидно, что VPN сервер должен выдать router'у диапазон адресов, а уже router раздаст их по DHCP всем желающим. Как заставить OpenVPN сервер выделять клиенту не один адрес, а 10 или 100?
Под «выделять» наверное следует понимать РЕЗЕРВИРОВАТЬ.
А в идеальном случае каждому клиенту неплохо было-бы выдавать целую сетку /24
Ну к примеру client1 получает сетку 10.10.10.0/24
client2 10.10.11.0/24 и т.д.

Процесс раздачи роутером DHCP вижу следующим:
1. router установил связь с VPN сервером, получил себе адрес.
2. Скрипт настраивает DHCP сервер, чтобы тот раздавал адреса начиная с полученного от VPN сервара +1 и до конца(оговоренного лимита)...

Ещё вопрос: на каком уровне OSI работает UPnP?
Дело в том, что NAT будет на VPN сервере и хотелось-бы, чтобы UPnP долетали до него.
Собственно, именно поэтому не хочется ещё один NAT на router.
Хочу централизованно всё разруливать на VPN сервере.

Ethernet Bridging через VPN готов рассмотреть только если никак иначе уже не не получается.

Ссылка

←	mac adres для настройки proxy

Screen over SSH. Не создать новый терминал.

→

Чем бридж не устраивает?

markevichus ★★★
(30.07.10 15:06:25 MSD)

Ссылка

Ужас. Написано так что ВООБЩЕ ничего не понятно.

Вы хотите поднять на router 10 туннелей до vpn сервера, а потом 10 клиентов маршрутизировать каждого в свой туннель?

~~zgen~~ ★★★★★
(30.07.10 15:09:58 MSD)

Ссылка

Если все сети подконтрольны, то зачем делать нат, подняли тунель между router и server, прописали маршруты с обоих сторон и радуйтесь, в каком месте тут нат?

~~zgen~~ ★★★★★
(30.07.10 15:17:34 MSD)

Ответ на: комментарий от zgen 30.07.10 15:17:34 MSD

нат дальше. от vpn сервера в сетка2.

туннель один, не 10.
Затык в том, чтобы раздавать айпишнники.

dx
(30.07.10 16:38:04 MSD) автор топика

Ссылка

Нет там никакой проблемы. Ты просто не читал man openvpn про роутинг.

anonymous
(30.07.10 16:40:44 MSD)

Ссылка

для OpenVPN клиент один, это router. OpenVPNу должно быть совершенно параллельно, что там за этим router-ом находится, это уже вопросы маршрутизации. Если необходимо использовать DHCP-сервер, который находится или на компьютере в сети2, или на комьютере с OpenVPN-сервером, то на router-е нужен какой-либо DHCP-релей. Хосты в сети(10компов) не должны иметь каких-либо сношений с OpenVPN-сервером, для них просто указывается DG через DHCP.

А зачем хостам в сети(10компов) C-шные сети? На них виртуалки? Или они будут маршрутизаторами для других сетей?

spunky ★★
(30.07.10 16:54:32 MSD)

Ответ на: комментарий от spunky 30.07.10 16:54:32 MSD

Нет, это хитрожопые ксакепы, не осилившие doublevpn.

uspen ★★★★★
(31.07.10 00:12:54 MSD)

Ответ на: комментарий от uspen 31.07.10 00:12:54 MSD

не вводи в заблуждение, да? Обычный шифрованый туннель получается. DoubleVPN, имхо, не более чем маркетинговое название.

spunky ★★
(31.07.10 00:21:03 MSD)

Ответ на: комментарий от spunky 31.07.10 00:21:03 MSD

Как сказать. Нет. Это 2 vpn сервера, соединенных через интернет, при этом клиент работает прозрачно через них.

uspen ★★★★★
(31.07.10 00:23:09 MSD)

Ответ на: комментарий от uspen 31.07.10 00:23:09 MSD

Уже и TripleVPN есть

uspen ★★★★★
(31.07.10 00:48:16 MSD)

И да, мальчик, осиль уже policy based routing. И не DHCP а ccd

uspen ★★★★★
(31.07.10 01:06:09 MSD)

Ответ на: комментарий от uspen 31.07.10 00:48:16 MSD

если уж на то пошло, то следует обобщить понятия n-proxyVPN, или чем-то вроде.

ТСу нужно пробрасывать трафик от точки до точки через незащищённую сеть, тут вариантов может и много, но зачем усердствовать? Поднимается 1 VPN, от router до OpenVPN-сервера. Тот факт, что за router-ом будет ещё сеть, и он её будет маршрутизировать, сути не меняет.

Отличие DoubleVPN от обычного VPN-а только «административная». Название технологии, суть одна.

з.ы. что-то мне когда-то говорил, что обобщать сверх меры - плохо...

spunky ★★
(31.07.10 01:43:31 MSD)

Ссылка

Ответ на: комментарий от uspen 31.07.10 01:06:09 MSD

CCD - client-config-dir? OpenVPN напрямую будет иметь дело только с router-ом, для машин в сети Сетка(10компов) он никто. CCD использовался бы в случае, когда каждый клиент поднимает VPN-тоннель до OpenVPN-сервера, в этом случае на router-е можно использовать и NAT, если адресов на всю сеть Сетка(10компов) недостаточно, и этот NAT, вроде бы, даже не должен конфликтовать с NAT-ом далее, как указал ТС. Однако, думаю, такой вариант для ТС-а не подходит по причине фиговой железки в роли router-а. Частенько всякие home-рутеры сливают при пропуске уже двух VPN-ов.

spunky ★★
(31.07.10 02:03:22 MSD)

Ссылка

на участке «eth0(router)eth1<->[INTERNET]<->eth0(VPN server)eth1» тебе не нужен VPN, так как на обоих концах стоят серверы, то проще и надёжнее между ними поднять p2p соединение по шифрованному каналу и повесить arp-прокси на обоих концах — тогда клиенты в «Сетка(10компов)» и «сетка2» вообще будут сидеть как в одной локалке.

pupok ★★
(31.07.10 04:16:54 MSD)

Ответ на: комментарий от pupok 31.07.10 04:16:54 MSD

Курил маны, читал хауту к openVPN, но так и не понял как за каждым клиентом закрепить диапазон адресов.
Т.е. приведенный мной пример будет тиражироваться. Т.е. router'ов таких будет много и все они будут цепляться к серверу через VPN туннель.

dx
(01.08.10 02:04:07 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	mac adres для настройки proxy

Admin

Screen over SSH. Не создать новый терминал.

→

Похожие темы